我正在寻找组合和操作来自不同日志记录实例的两个提取字段。我正在使用rex命令进行提取。
但是,从阅读文档看来,不可能将匹配不同行的 rex 命令组合起来。
例如:
假设我记录了这一行:Timestamp Caller foo bar <DATA> blah blah。使用 rex 我可以<DATA>像rex field=log "foo bar (?<DATA>\d{1,6}).*. (注意它是数字数据)。
现在我有另一行记录为Timestamp Caller baz qux <DATA2> blah blah. 同样,我可以抓住<DATA2>as rex field=log "baz qux (?<DATA2>\d{1,6}).*。
问题是我想量化两者之间的关系<DATA>。<DATA2>
如何运行一个查询来捕获出现在不同日志行中的两个数据点?
注意:相关How can I combine 2 queries in Splunk问题不相关,因为这些问题中的数据要么出现在同一行,要么没有rex明确使用。